セッションハイジャックとは

SEのための情報セキュリティ対策
情報資産を脅かす脆弱性や脅威に対する対策を紹介しています
Home> 攻撃の種類と対策 >

セッションハイジャックとは

セッションハイジャックとは



スポンサードリンク


セッションハイジャックとは、成り済ましの一種でクライアントとサーバの正規セッションに割り込んで、セッションを奪い取る行為をいいます。セッションハイジャックにより行われる行為として以下のようなことが考えられます。

・正規サーバになりすましてクライアントの機密情報を盗む。
・正規クライアントになりすまして、サーバに侵入する。


以下にセッションハイジャックの種類と攻撃手法について紹介します。

セッションハイジャックの種類と攻撃手法
TCPセッションハイジャック

TCPではコネクション確立時に互いにシーケンス番号を交換し、コネクション確立後は発信者がデータを送る際にシーケンスを加算して通信を行うことで信頼性を高めている。この仕組みを利用して矛盾なくシーケンス番号を操作して成り済まし通信を行う行為をTCPセッションハイジャックである。

・UDPセッションハイジャック

UDPはコネクション確立手順がないため、クライアントからのリクエストに対して、正規サーバよりも先にレスポンスを返すことでセッションハイジャックを行う。


・WEBセッションハイジャック

HTTPは、一つ一つセッション単位で完結するため、連続的なやり取りや状態を管理することはできない。そのためWEBアプリケーション側で各セッションを管理するための識別情報(セッションID)を生成し、URLやクッキーにセットしてクライアントとやりとりを行います。

侵入者は、
URL、クッキー、hiddenフィールドにセットされたセッション管理情報を推測や盗聴するなどして取得し正規ユーザに成り済ましてWEBサーバとのセッションハイジャックを行います。

以下にWEBセッションハイジャックの一つである、
セッションフィクセイションを紹介します。

セッションフィクセイションは、セッションIDを含むURLをメールなどで送りつけ、ユーザに意図的にセッションを確立させハイジャックを行うという手法をとります。

よくスパムメールにURLが書かれたメールを見かけますが、クリックするとセッションをハイジャックされる可能性があります、注意が必要です。


セッションフィクセイションの攻撃パターン
@ターゲットとなるWEBサイトでセッションIDを入手
 ↓
A入手したセッションIDを含むURLをリンク先として
フィッシングメールをユーザへ送付
 ↓
Bユーザがリンクをクリックすると、不正セッションIDを使ってターゲットサイトにログイン
 ↓
Cターゲットサイトで正規ユーザになりすまし、不正な操作を行う




> セッションハイジャック対策

ポートスキャンとは
ポートスキャン対策

バッファオーバーフロー攻撃とは
バッファオーバーフロー攻撃対策

パスワードクラックとは
パスワードクラック対策

セッションハイジャックとは
セッションハイジャック対策

DNSサーバ攻撃とは
DNSサーバ攻撃対策

Dos攻撃とは
Dos攻撃対策

Webアプリケーション攻撃とは
Webアプリケーション攻撃対策

ウィルス攻撃とは
ウィルス攻撃対策

成り済ましとは
成り済まし対策

SYN Floodとは
SYN Flood対策


スポンサードリンク
免責事項 / サイトマップ / リンク /  問い合わせ
Copyright (C) 2008  SEのための情報セキュリティ対策  All rights reserved





スポンサードリンク